好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器

教育网双出口NAT服务器的典型配置

关键字:MSR; NAT; ACL; 策略路由; 双出口

 

一、组网需求

MSRG0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是test.h3c.edu.cn,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单:MSR一台

二、组网图:

三、配置步骤:

MSR关键配置(路由部分配置略)

#

 //地址池0用于访问电信的NAT

 nat address-group 0 202.2.2.50 202.2.2.100

 //地址池1用于访问教育网的NAT

 nat address-group 1 211.1.1.50 211.1.1.100

 //静态NAT用于外部访问内部服务器test.h3c.edu.cn

 nat static 192.168.34.55 211.1.1.4

#

//ACL 2000用于内网访问教育网和电信的NAT,允许192.168.0.0/0的源

acl number 2000

 description "NAT"

 rule 10 permit source 192.168.0.0 0.0.255.255

//ACL 2222用于策略路由的允许节点,即内部服务器往外发的HTTPG5/1出去

acl number 2222

 description "policy-based-route permit node"

 rule 0 permit source 192.168.34.55 0

#

//用于内部主机访问211.1.1.4NAT映射

acl number 3000

 description "192.168.0.0/24 access 211.1.1.4"

 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.34.55 0

//ACL 3333用于策略路由拒绝节点,即内部服务器返回内部主机的不需要被策略

acl number 3333

 description "policy-based-route deny node"

 rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0 0.0.255.255

#

interface GigabitEthernet0/0

 port link-mode route

 //内部主机访问211.1.1.4时,将211.1.1.4替换成192.168.34.55

 nat outbound static

 //内部主机访问211.1.1.4时,将内部主机地址转换成192.168.86.2

 nat outbound 3000

 description to neibu-Lan

 ip address 192.168.86.2 255.255.255.252

 //策略路由,内部服务器返回内部的不被策略,返回外部的从G5/1出去

 ip policy-based-route aaa

#

interface GigabitEthernet5/0

 port link-mode route

 //内部访问电信时需要NAT

 nat outbound 2000 address-group 0

 description connect to ChinaNet

 ip address 202.2.2.2 255.255.255.0

 tcp mss 1420

#

interface GigabitEthernet5/1

 port link-mode route

 //外部访问内部服务器211.1.1.4时静态转换成192.168.34.55

 nat outbound static

 //内部访问教育网时需要NAT

 nat outbound 2000 address-group 1

 description connect to Cernet

 ip address 211.1.1.2 255.255.255.0

 tcp mss 1420

#

//策略路由aaa拒绝节点序号3

policy-based-route aaa deny node 3

 //匹配条件ACL 3333,即内部服务器返回内部的流量不需要被策略

 if-match acl 3333

//策略路由aaa允许节点5

policy-based-route aaa permit node 5

 //匹配ACL 2222,即内部服务器发出的流量

 if-match acl 2222

 //应用下一跳211.1.1.1,即从G5/1出去

 apply ip-address next-hop 211.1.1.1

#

 

四、配置关键点

1) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;

2) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略;

3) G0/0应用2NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器test.h3c.edu.cn,如果只使用NAT Outbound Static,那么内部主机192.168.1.199发送HTTP请求的源、目的地址对<192.168.1.199, 211.1.1.4>会变成<192.168.1.199, 192.168.34.55>然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对<192.168.34.55, 192.168.1.199>直接返回给内部主机(192.168.1.199可以经过内部路由不需要经过MSR到达)因此对于内部主机来说始终没有接收到211.1.1.4返回的HTTP响应,因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器,让MSRHTTP响应<192.168.34.55, 192.168.1.199>变成<211.1.1.4, 192.168.1.199>,方法就是再做一次NAT,通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的<192.168.86.2, 192.168.34.55>,这样HTTP响应就会变成<192.168.34.55, 192.168.86.2>发送到MSRMSR再变成<211.1.1.4, 192.168.1.199>返回给内部主机。

X Close
X Close